Μια νέα παραλλαγή του StopCrypt ransomware (γνωστό και ως STOP) χρησιμοποιεί μια αλυσίδα μόλυνσης πολλαπλών σταδίων για την αποφυγή εργαλείων ασφαλείας.

Παρόλο που το StopCrypt δεν ακούγεται συχνά, είναι ίσως το πιο διαδεδομένο ransomware. Ο λόγος που δεν ακούμε για επιθέσεις του StopCrypt (όπως ακούμε για άλλες ομάδες όπως οι LockBit, BlackCat και Clop) είναι επειδή αυτή η λειτουργία ransomware δεν στοχεύει συνήθως επιχειρήσεις αλλά απλούς καταναλωτές. Στόχος της ομάδας είναι να συλλέξει δεκάδες χιλιάδες μικρές πληρωμές λύτρων από 400 έως 1.000 $, αντί να ζητήσει λύτρα ύψους πολλών εκατομμυρίων δολαρίων.

Το ransomware διανέμεται συνήθως μέσω κακόβουλων διαφημίσεων και sites που διανέμουν adware bundles μεταμφιεσμένα σε δωρεάν λογισμικό, game cheats και software cracks.

Ωστόσο, κατά την εγκατάσταση αυτών των προγραμμάτων, αρχίζει η μόλυνση με διάφορα κακόβουλα λογισμικά, συμπεριλαμβανομένων trojans κλοπής κωδικών πρόσβασης και του StopCrypt ransomware.

Το ransomware εμφανίστηκε πρώτη φορά το 2018, και το ransomware encryptor δεν έχει αλλάξει πολύ. Οι νέες εκδόσεις συνήθως διορθώνουν προβλήματα που εμφανίζονται.

Δείτε επίσης: Οι αρχές επιβολής του νόμου επηρεάζουν τις ομάδες ransomware

Νέα έκδοση με μόλυνση πολλαπλών σταδίων

Η SonicWall αποκάλυψε μια νέα παραλλαγή του ransomware StopCrypt που χρησιμοποιεί πλέον έναν μηχανισμό εκτέλεσης πολλαπλών σταδίων.

Αρχικά, το κακόβουλο λογισμικό φορτώνει ένα φαινομενικά άσχετο αρχείο DLL (msim32.dll). Εφαρμόζει επίσης μια σειρά long time-delaying loops που βοηθούν στην παράκαμψη μέτρων ασφαλείας που σχετίζονται με το χρόνο.

Στη συνέχεια, χρησιμοποιεί dynamically constructed API calls στο stack για να εκχωρήσει τον απαραίτητο χώρο μνήμης για δικαιώματα read/write και εκτέλεσης. Με αυτόν τον τρόπο, ο εντοπισμός γίνεται πιο δύσκολος.

Το StopCrypt ransomware χρησιμοποιεί API calls για διάφορες ενέργειες, συμπεριλαμβανομένης της λήψης snapshots για τις διεργασίες που εκτελούνται. Αυτό βοηθά το malware να κατανοήσει καλύτερα το περιβάλλον στο οποίο λειτουργεί.

Δείτε επίσης: LockBit ransomware: Φυλακίζεται hacker-μέλος της ομάδας

Στο επόμενο στάδιο, το StopCrypt παραβιάζει τις νόμιμες διεργασίες και εισάγει το payload του για διακριτική εκτέλεση στη μνήμη. Αυτό γίνεται μέσω μιας σειράς προσεκτικά ενορχηστρωμένων API calls.

Μόλις εκτελεστεί το τελικό payload, ξεκινούν ενέργειες που εξασφαλίζουν την παραμονή του ransomware στο μολυσμένο σύστημα και την τροποποίηση access control lists

(ACL) ώστε να μην μπορούν οι χρήστες να διαγράφουν σημαντικά malware files. Επιπλέον, δημιουργείται ένα scheduled task για την εκτέλεση του payload κάθε πέντε λεπτά.

Με την κρυπτογράφηση των αρχείων, προσαρτάται μια επέκταση “.msjd”. Ωστόσο, έχουν παρατηρηθεί εκατοντάδες επεκτάσεις που σχετίζονται με το StopCrypt ransomware.

Στο τέλος, εμφανίζεται ένα σημείωμα λύτρων με το όνομα “_readme.txt” σε κάθε φάκελο που επηρεάζεται. Εκεί, τα θύματα μπορούν να βρουν τις απαραίτητες οδηγίες για την πληρωμή των λύτρων.

Προστασία από StopCrypt ransomware

Ένας από τους πιο αποτελεσματικούς τρόπους για την προστασία από το ransomware είναι η χρήση αξιόπιστου λογισμικού ασφάλειας. Το λογισμικό αυτό θα πρέπει να περιλαμβάνει προστασία από ιούς, malware, spyware και φυσικά ransomware.

Η εκπαίδευση είναι άλλη μία σημαντική στρατηγική. Οι χρήστες πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με το άνοιγμα ύποπτων email ή την επίσκεψη σε μη ασφαλείς ιστοσελίδες.

Δείτε επίσης: SMBs δέχονται περισσότερες επιθέσεις ransomware από ποτέ!

Η δημιουργία και η συχνή ενημέρωση των αντιγράφων ασφαλείας είναι ένας άλλος αποτελεσματικός τρόπος προστασίας. Σε περίπτωση που ένα σύστημα γίνει στόχος ransomware (π.χ. StopCrypt ransomware), τα αντίγραφα ασφαλείας μπορούν να χρησιμοποιηθούν για την αποκατάσταση των δεδομένων.

Επίσης, η ενημέρωση και η συντήρηση των συστημάτων και των εφαρμογών είναι ζωτικής σημασίας. Οι επιτιθέμενοι συχνά εκμεταλλεύονται τα κενά ασφαλείας σε παλιότερες εκδόσεις του λογισμικού για να εισβάλλουν στα συστήματα.

Τέλος, η χρήση εργαλείων προστασίας της ιδιωτικότητας, όπως το VPN, μπορεί να βοηθήσει στην προστασία από το ransomware. Τα VPN μπορούν να κρύψουν την ταυτότητα του χρήστη και να παρέχουν επιπλέον στρώμα ασφάλειας.

Πηγή: www.bleepingcomputer.com